Bösartige Websites konnten letztes benutztes Passwort aus Lastpass auslesen

von Luca Cannellotto

16. September 2019 - Der Passwort-Manager Lastpass enthält in seiner aktuellen Version einen Fix für einen Bug, der es manipulierten Websites ermöglichte, das letzte vom benutzte Passwort aus dem Browser auszulesen.

Passwort-Manager sind gemacht, um die Logins der Nutzer nicht nur zu speichern, sondern auch, um diese zu schützen. Offenbar war aber gerade Lastpass, ein populärer Passwort-Manager, von einer Lücke betroffen, die es Cyberkriminellen ermöglichte, das letzte vom Nutzer verwendete Passwort aus einem Browser auszulesen. Wie aus einem Bericht von "The Verge" zu entnehmen ist, hat der Sicherheitsexperte Tavis Ormandy von Google Project Zero die Lücke entdeckt und am 29. August gemeldet.

LastPass could leak the last used credentials due to a cache not being updated. This was because you can bypass the tab credential cache being populated by including the login form in an unexpected way! https://t.co/bfLdDzSWS5
— Tavis Ormandy (@taviso) 16. September 2019

Der Bug konnte mit Hilfe einer manipulierten Website ausgenutzt werden. Diese brachte die Browser Extension von Lastpass dazu, das zuletzt auf einer anderen Website verwendete Login samt Passwort zu nutzen, um sich auf der Seite anzumelden. Lastpass hat am 13. September einen Fix für den Bug zur Verfügung gestellt, der automatisch installiert werden sollte. Dennoch sollten Nutzer von Lastpass sicherstellen, dass sie die aktuelle Version 4.33.0 verwenden, die nicht vom Bug betroffen ist. Gemäss Lastpass sollen nur die Browser Chrome und Opera von der Lücke betroffen gewesen sein.